El operador de red móvil Orange España sufrió una interrupción de Internet durante varias horas el 3 de enero después de que un actor de amenazas utilizara credenciales de administrador capturadas mediante un malware ladrón para secuestrar el protocolo de entrada fronteriza (BGP) tráfico.
«La cuenta de Orange en el Centro de Coordinación de Redes IP (RIPE) ha sufrido un acceso indebido que ha afectado a la navegación de algunos de nuestros clientes», afirma la compañía dicho en un mensaje publicado en X (antes Twitter).
Sin embargo, la empresa enfatizó que no se comprometió ningún dato personal y que el incidente solo afectó a algunos servicios de navegación.
El actor de amenazas, que se conoce con el nombre de Ms_Snow_OwO en X, reclamado haber accedido a la cuenta RIPE de Orange España. RIPE es un registro regional de Internet (RIR) que supervisa la asignación y el registro de direcciones IP y números de sistemas autónomos (AS) en Europa, Asia central, Rusia y Asia occidental.
«Utilizando la cuenta robada, el actor de amenazas modificó el número AS perteneciente a la dirección IP de Orange, lo que provocó importantes interrupciones en Orange y una pérdida de tráfico del 50%», dijo la firma de ciberseguridad Hudson Rock. dicho.
Un análisis más detallado ha revelado que la dirección de correo electrónico de la cuenta de administrador está asociada con la computadora de un empleado de Orange España que fue infiltrado por el malware Raccoon Stealer el 4 de septiembre de 2023.
Actualmente no se sabe cómo el ladrón llegó al sistema del empleado, pero estas familias de malware generalmente se propagan a través de publicidad maliciosa o estafas de phishing.
«Entre las credenciales corporativas identificadas en la máquina, el empleado tenía credenciales específicas para ‘https://access.ripe.net’ utilizando la dirección de correo electrónico revelada por el actor de la amenaza ([email protected])», señala el informe. añadió la empresa.
Peor aún, la contraseña utilizada para proteger la cuenta de administrador RIPE de Orange era «ripadmin», que es débil y fácilmente predecible.
El investigador de seguridad Kevin Beaumont señaló además que RIPE no exige autenticación de dos factores (2FA) ni aplica una política de contraseñas segura para sus cuentas, lo que la hace propicia para el abuso.
«Actualmente, los mercados de robo de información venden miles de credenciales para access.ripe.net, lo que permite efectivamente repetir esto en organizaciones e ISP de toda Europa», Beaumont dicho.
MADURO, que es actualmente investigando Para ver si otras cuentas se han visto afectadas de manera similar, dijo que se comunicará directamente con los titulares de cuentas afectados. También instó a los usuarios de cuentas de RIPE NCC Access a actualizar sus contraseñas y habilitar la autenticación multifactor para sus cuentas.
«A largo plazo, estamos acelerando la implementación de 2FA para que sea obligatoria para todas las cuentas de RIPE NCC Access lo antes posible e introducir una variedad de mecanismos de verificación», dijo. agregado.
El incidente sirve para resaltar las consecuencias de las infecciones por robo de información, lo que requiere que las organizaciones tomen medidas para proteger sus redes de vectores de ataque iniciales conocidos.